Eine neue hochkritische Sicherheitslücke mit der Bezeichnung CVE-2025-47955 gefährdet derzeit 37 Microsoft-Produkte, darunter sämtliche aktuellen Windows-Versionen. Die von Sicherheitsforschern von Positive Technologies entdeckte Schwachstelle erhielt eine Bewertung von 7.8 Punkten auf der CVSS-Skala und ermöglicht Angreifern eine lokale Privilegienerweiterung mit weitreichenden Konsequenzen für Unternehmen und Privatnutzer.
Technische Details der Sicherheitslücke
Die Schwachstelle befindet sich im systemkritischen Remote Access Connection Manager, einer Windows-Systemkomponente, die für die Verwaltung von VPN-Verbindungen und Remote-Access-Diensten zuständig ist. Cyberkriminelle können diese Lücke ausnutzen, um ihre Berechtigungen von einem Standard-Benutzerkonto auf Administratorebene zu erweitern.
Nach erfolgreicher Ausnutzung der Schwachstelle erhalten Angreifer die Möglichkeit, beliebigen Code auf dem kompromittierten System auszuführen. Dies öffnet Tür und Tor für die Installation von Malware, einschließlich Advanced Persistent Threats (APTs) und anderen ausgeklügelten Schadprogrammen, die langfristig unentdeckt bleiben können.
Betroffene Microsoft-Systeme und Reichweite
Die Sicherheitslücke betrifft ein breites Spektrum von Microsoft-Betriebssystemen, wobei sowohl Desktop-Versionen wie Windows 10 und Windows 11 als auch Server-Editionen gefährdet sind. Besonders besorgniserregend ist, dass 19 verschiedene Server-Versionen betroffen sind, einschließlich der neuesten Generationen Windows Server 2025 und Windows Server 2022.
Diese Systeme bilden das Rückgrat der IT-Infrastruktur in Unternehmen weltweit, von kleinen Büros bis hin zu großen Rechenzentren und Cloud-Plattformen. Die weitreichende Verbreitung dieser Systeme macht CVE-2025-47955 zu einer besonders gefährlichen Bedrohung für die globale IT-Landschaft.
Risikobewertung für Unternehmensumgebungen
Für Unternehmensnetzwerke stellt CVE-2025-47955 eine besonders hohe Gefahr dar. Ein Angreifer benötigt lediglich initialen Zugang zu einem Arbeitsplatzrechner eines normalen Mitarbeiters ohne administrative Rechte, um anschließend vollständige Systemkontrolle zu erlangen.
Ähnliche Angriffsvektoren existieren bei kompromittierten Terminal-Servern mit eingeschränkten Zugriffsrechten. Nach erfolgreicher Exploit-Ausführung können Cyberkriminelle lateral movement innerhalb des Unternehmensnetzwerks durchführen und Zugriff auf geschäftskritische Ressourcen und sensible Daten erlangen.
Sofortmaßnahmen und Schutzstrategien
Microsoft hat bereits Sicherheitsupdates im Rahmen des monatlichen Patch-Zyklus veröffentlicht. Die umgehende Installation dieser Patches ist von höchster Priorität für alle IT-Administratoren und Sicherheitsverantwortlichen in Organisationen jeder Größe.
Falls eine sofortige Patch-Installation aus technischen oder betrieblichen Gründen nicht möglich ist, empfehlen Sicherheitsexperten als Übergangslösung die temporäre Deaktivierung des Remote Access Connection Manager-Dienstes. Da dieser Service standardmäßig in allen Windows-Versionen aktiviert ist, vergrößert sich dadurch die Angriffsfläche erheblich.
Ergänzende Sicherheitsmaßnahmen
Unternehmen sollten ihre Netzwerküberwachung intensivieren und erweiterte Anomalie-Erkennungssysteme implementieren, um verdächtige Benutzeraktivitäten frühzeitig zu identifizieren. Die regelmäßige Überprüfung von Zugriffsberechtigungen und die konsequente Anwendung des Prinzips der minimalen Rechte können potenzielle Schäden durch solche Sicherheitsvorfälle erheblich reduzieren.
Diese Schwachstelle unterstreicht einmal mehr die kritische Bedeutung eines proaktiven Patch-Managements und einer robusten Vulnerability-Management-Strategie in modernen IT-Umgebungen. Nur durch zeitnahe Reaktionen auf neue Bedrohungen und eine durchdachte Sicherheitsarchitektur können sich Organisationen effektiv gegen die stetig wachsenden Cyberrisiken schützen und ihre digitalen Assets langfristig absichern.
